2017년 1분기는 2016년의 결과에 이어 카스퍼스키랩 전문가들이 내놓은 DDoS 공격의 진화에 대한 예측이 사실로 확인된 분기였다. 또한 사이버 범죄 역시 휴식 기간이 필요하다는 것이 드러나기도 했다. 복잡한 DDoS 공격이 1분기에도 계속해서 증가하고 있긴 하나, 전체 공격 횟수가 크게 감소했으며 국가별 분포 양상도 변화했다.

2017년 1분기 Kaspersky DDoS 인텔리전스 시스템에 기록된 DDoS 공격은 2016년 4분기보다 8개국이 줄어든 72개국의 리소스에 발생했다. DDoS 공격을 가장 많이 받은 국가 10위권에서는 일본과 프랑스가 빠지고 네덜란드와 영국이 그 자리를 채웠다.

탐지된 C&C 서버 수의 경우, 한국이 여전히 1위를 기록하고 있다. 2위는 미국 그 뒤로 네덜란드가 3위를 차지했는데, 이로써 모니터링을 시작한 이래로 3위 아래로 떨어진 적이 없던 중국이 순위 밖으로 밀려나 2위에서 7위로 크게 하락했다. C&C 서버 수 부문에서 일본, 우크라이나, 불가리아 모두 10위권 아래로 떨어진 반면, 홍콩, 루마니아, 독일이 10위권에 새롭게 진입한 것으로 나타났다.

운영 체제별 공격 분포 양상 또한 변동이 있었다. 이전 분기에는 Linux 기반 IoT 봇넷이 가장 성행했으나 2017년 1분기에는 Windows 기반 봇넷이 25%에서 60%로 껑충 뛰어 1위를 차지한 것이다. TCP, UDP, ICMP 공격 횟수 또한 눈에 띄게 증가했으며, SYN DDoS 및 HTTP 공격의 비중은 2016년 4분기 75%에서 1분기에는 48%로 하락했다.

이 보고서의 작성 기간 동안 증폭 유형의 공격은 단 한 차례도 관찰되지 않았던 반면, 암호화 기반 공격은 증가한 것으로 나타났다. 이는 단순하지만 강력했던 DDoS 공격이 표준 보안 도구로 식별이 어려운 공격으로 그 성향이 바뀔 것이라는 작년의 예측과 일맥상통하는 부분이다.

전반적으로 이번 분기는 비교적 잠잠했으며, 공격이 가장 많이 관찰된 날은 2월 18일(994회)이었다. 2017년 1분기 최장기 DDoS 공격은 120시간 동안 계속되었으며, 이는 지난 분기의 292시간보다 훨씬 낮은 수준이다. 

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “연초에는 대개 DDoS 공격 횟수가 눈에 띄게 줄어드는데, 이러한 추세는 최근 5년간 계속되어 왔습니다. 이러한 현상이 발생하는 이유는 사이버 범죄자 또는 그 배후 세력들이 잠시 휴식 기간을 갖고 있기 때문으로 생각됩니다. 이렇게 소강 상태가 지속되고 있지만 올해 1월과 3월 사이에 발생한 공격은 2016년 1분기에 비해 더 많은 것으로 기록되어 전체적인 DDoS 공격 횟수는 계속해서 증가하고 있다는 결론을 내렸습니다. 따라서 지금은 방어 태세를 늦출 것이 아니라 오히려 사이버 범죄자들이 활동을 정상적으로 재개하기 전에 보안을 더욱 강화하고 재정비해야 할 것입니다.”라고 말했다.

카스퍼스키랩이 그간 사이버 위협에 맞서면서 축적한 방대한 노하우와 독자적인 개발 기술이 모두 적용되어 있는 Kaspersky DDoS Protection은 공격의 복잡성이나 위력, 공격 기간과 관계없이 모든 종류의 DDoS 공격으로부터 시스템을 보호할 수 있는 솔루션이다.

* DDoS 인텔리전스 시스템(Kaspersky DDoS Protection의 구성 요소)은 C&C 서버로부터 봇에 전달되는 명령을 가로채서 분석하도록 설계되었으며 사용자의 장치가 감염되거나 사이버 범죄자의 명령이 실행되기 전에도 데이터 수집을 시작할 수 있다. DDoS 인텔리전스 통계는 카스퍼스키랩에서 탐지하여 분석한 봇넷만을 대상으로 한다.